Как найти логи с дейтвиями пользователя в Windows Defender?

Question

radioactivetoy @radioactivetoy

Как найти логи с дейтвиями пользователя в Windows Defender?

Здравствуйте, возможно ли найти в логах в ОС Windows действия пользователя с Windows Defender, а именно добавление/удалений правил, включение/выключение и т.д. ?

Вопрос задан более трёх лет назад
538 просмотров

Комментировать

Подписаться 1 Простой Комментировать

Помогут разобраться в теме Все курсы

Нетология

Инженер по автоматизации

13 месяцев

Далее
Skillbox

Системный администратор с нуля

6 месяцев

Далее
Skillbox

Профессия Специалист по информационной безопасности

12 месяцев

Далее

Решения вопроса 1

8 комментариев

radioactivetoy @radioactivetoy Автор вопроса

спасибо, видел, но там нету действий пользователя

Написано более трёх лет назад
Роман Безруков @NortheR73

radioactivetoy, действия пользователя - это изменение конфигурации Defender, вкл/выкл службы и действия с карантином.
внутри соответствующих событий есть данные domain\user

Написано более трёх лет назад
radioactivetoy @radioactivetoy Автор вопроса

Роман Безруков, да, как раз редактировал коммент,
действительно там есть события по которым можна считать включение/выкючение модулей, не достаточно подробно изучил.
но если речь идет о добавлений какого-то правила? в упор не виду ничего подобного

Написано более трёх лет назад
Роман Безруков @NortheR73

radioactivetoy, какого правила? с точки зрения Defender - это изменение конфигурации...
речь же про Defender, а не про Firewall?

Написано более трёх лет назад
radioactivetoy @radioactivetoy Автор вопроса

Роман Безруков,
про Windows Defender Firewall :)
там где добавляется правила для разрешения или блокировки трафика - Indound/Outbound Rules
И вот нужно собственно найти в логах какой пользователь что делал с какими правилами, удалил что-то, изменил что-то, и т.п.

Написано более трёх лет назад
Роман Безруков @NortheR73

radioactivetoy, разве не оно?
Event Viewer >> Applications and Services Logs >> Microsoft >> Windows >> Windows Firewall With Advanced Security

Написано более трёх лет назад
radioactivetoy @radioactivetoy Автор вопроса

Роман Безруков, нашел записи что конфигурация была изменена, и там даже User ID, но что на что к сожалению не отображает в "нормальном" виде, только что-то типа
Default\Features\TPExclusions = 0x0
HKLM\SOFTWARE\Microsoft\Windows Defender\Features\TPExclusions = 0x0
или
Default\ProductAppDataPath = C:\ProgramData\Microsoft\Windows Defender
HKLM\SOFTWARE\Microsoft\Windows Defender\ProductAppDataPath = C:\ProgramData\Microsoft\Windows Defender

по пути C:\ProgramData\Microsoft\Windows Defender тоже в читабельном виде ничего не вижу

Написано более трёх лет назад
radioactivetoy @radioactivetoy Автор вопроса

Роман Безруков, боже какой же я тупой))
я реально не видел что там есть еще одна отдельная папка на Windows Firewall With Advanced Security
там уже действительно все есть, большое вам спасибо))

Написано более трёх лет назад